Araştırmacıların yakın zamanda yeni bir Magecart skimmer yinelemesiyle ilişkili altyapıyı analiz ederken keşfettikleri gibi, bir tür suç faaliyetinde bulunan siber suçlular bazen çok çeşitli başka hain kampanyalara da el atabilirler.
Magecart, ödeme kartı bilgilerini çalmak için e-ticaret sitelerine kart toplayıcıları yerleştirme konusunda uzmanlaşmış, kötü şöhretli ve sürekli gelişen bir çok grup sendikasıdır. Yıllar boyunca, sendikaya bağlı gruplar, TicketMaster ve British Airways gibi büyük şirketlere ait olanlar da dahil olmak üzere web sitelerinden çok sayıda – bazen çok büyük – kart bilgisi soygunları gerçekleştirdi.
Malwarebytes’ten araştırmacılar yakın zamanda bir tehdit aktörünün birden çok e-ticaret sitesinde – mr.SNIFFA adlı bir çerçeveye dayalı – bir ödeme kartı korsanı kullandığını gözlemledi. mr.SNIFFA, tehdit aktörlerinin e-ticaret web sitelerinde satın alma işlemleri için ödeme yapan kullanıcılardan kredi ve banka kartı bilgilerini çalmak için dinamik olarak dağıtabilecekleri Magecart komut dosyaları oluşturan bir hizmettir. Kötü amaçlı yazılımın, ödeme kartı çalma kodunu şüphelenmeyen hedef web sitelerine yüklemek için steganografi gibi çeşitli şaşırtma yöntemleri ve taktikleri kullanması ile tanınır.
Geniş Suç Cenneti
Kampanyada kullanılan altyapıyla ilgili araştırmaları, aynı aktörle bağlantılı görünen, kripto para birimi dolandırıcılığı, kötü amaçlı hizmetlerin satıldığı forumlar ve çalınan kredi kartı numaraları dahil olmak üzere, diğer kötü amaçlı faaliyetlerden oluşan geniş bir ağın keşfedilmesine yol açtı.
Malwarebytes’in tehdit istihbaratı direktörü Jerome Segura, şirketin araştırmasını özetleyen bir blog gönderisinde, “Bir suç teşkilatının bittiği yerde, bir diğeri başlıyor – ancak çoğu zaman bağlantılılar” dedi. “Kod parçacıklarının ötesine bakmak ve daha büyük resmi görmek, potansiyel eğilimleri görmenin yanı sıra daha geniş ekosistemi daha iyi anlamaya yardımcı olur.”
Malwarebytes’in gözlemlediği Magecart kampanyasında, tehdit aktörü, saldırı zincirinin farklı bileşenlerini konuşlandırmak için üç farklı etki alanı kullandı. Alan adlarının her birinin kriptodan ilham alan adları vardı. Örneğin, bulaşma zincirinin ilk yönlendirme bileşenini enjekte eden alan adı “saylor2xbtc[.]com”, görünüşe göre ünlü Bitcoin savunucusu Michael Saylor’a selam veriyor. Diğer ünlülere de atıfta bulunuldu: “elon2xmusk” adlı bir alan adı[.]com”, skimmer için yükleyiciyi barındırırken, “2xdepp[.]com”, gerçek kodlanmış deniz süpürücünün kendisini içeriyordu.
Malwarebytes, gölgeli web sitelerini ve operasyonları barındırmasıyla ünlü, Rusya merkezli, kurşun geçirmez bir barındırma şirketi olan DDoS-Guard’a ait altyapıda barındırılan üç alan adını buldu. Güvenlik satıcısının araştırması, üç etki alanının her birinin çok çeşitli diğer kötü amaçlı etkinliklerle ilişkili olduğunu gösterdi.
Örneğin kepçe yükleyiciyi barındıran IP adresi, ev dekorasyonu ve dekorasyon şirketi Houzz’un web sitesinin sahte bir versiyonunu da barındırıyordu. Benzer şekilde, 2xdepp için IP adresi[.]com – skimmer’ı barındıran site – RDP, Cpanel ve Shells gibi araçlar satan bir web sitesine ve kripto para birimlerini karıştırmak için bir hizmet sunan başka bir web sitesine ev sahipliği yaptı – bu, siber suçluların genellikle yasadışı yollarla kazanılan paranın izini sürmeyi zorlaştırmak için kullandıkları bir şey.
Malwarebytes’teki araştırmacılar blackbiz’i daha da keşfetti[.]top, siber suçluların aynı alt ağda barındırılan çeşitli kötü amaçlı yazılım hizmetlerinin reklamını yapmak için kullandıkları bir forum.
Kripto İle İlgili Dolandırıcılıklar
Malwarebytes, DDoS Guard’da barındırılan ve alan adlarında Magecart kampanyasıyla ilişkili üç siteyle aynı “2x” değerine sahip olabilecek başka web siteleri olup olmadığını görmeye karar verdi. Tatbikat, yasa dışı kripto para birimi ile ilgili faaliyetlerde bulunan çok sayıda sahte web sitesini ortaya çıkardı.
Segura, “Bu sahte siteler Tesla, Elon Musk, MicroStrategy veya Michael J. Saylor’ın resmi etkinlikleri olduğunu iddia ediyor ve insanları binlerce BTC kazanma gibi boş umutlarla kandırıyorlar” dedi. “Group-IB’nin Eylül 2022 raporuna göre, bu kripto-eşantiyon dolandırıcılıkları 2022’nin ilk yarısında beş kat arttı” diye ekledi.
Malwarebytes, DDoS Guard’da Magecart operatörüyle bağlantılı görünen birden fazla başka site de keşfetti. Bunların arasında TeamViewer, AnyDesk, MSI, çalınan kredi kartı verilerini satan gazeteci Brian Krebs’in adını taşıyan bir Web portalı ve çeşitli kimlik avı kitleri satan bir site vardı.
Malwarebytes’in araştırması, bazı siber suç gruplarının hâlâ genişleyen doğasını vurguluyor, diğerleri ise ortak kötü niyetli kampanyalarda başkalarıyla işbirliği yapmak amacıyla belirli siber suç faaliyetlerinde uzmanlaşmaya başladı.
Geçtiğimiz birkaç yılda Evil Corp, Kuzey Kore’nin Lazarus Group, DarkSide ve diğerleri gibi tehdit aktörleri, operasyonlarında hem büyük hem de çeşitli oldukları için itibar kazandılar. Ancak daha yakın zamanlarda, diğerleri kendi özel becerilerine daha dar bir şekilde odaklanmaya başladılar.
Güvenlik sağlayıcısı Trend Micro’nun geçen yıl yürüttüğü araştırma, farklı becerilere sahip siber suçluların giderek artan bir şekilde bir hizmet olarak siber suç sunmak için bir araya geldiklerini gösterdi. Şirket, bu suç teşkilatlarının hizmet olarak erişim, hizmet olarak fidye yazılımı, kurşun geçirmez barındırma veya yeni saldırı yöntemleri ve taktikleri bulmaya odaklanan kitle kaynaklı ekipler sunan gruplardan oluştuğunu keşfetti.
“Bir olay-tepki zihniyetinden, bu şu anlama gelir: [defenders] Trend Micro, genel saldırının belirli yönlerini tamamlayan ve saldırıları tespit etmeyi ve durdurmayı zorlaştıran bu farklı grupları tanımlamamız gerekecek.”